Обязательные Обновления для службы федерации Active Directory (AD FS) (AD FS) и прокси веб-приложения (WAP)
По состоянию на октябрь 2016 г. все обновления всех компонентов Windows Server выпускаются только через Обновл. Windows (WU). Нет дополнительных исправлений или отдельных загрузок. Это относится к Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2 с пакетом обновления 1 (SP1).
На этой странице перечислены пакеты свертки, интересующие AD FS и WAP, а также исторический список обновлений исправлений, рекомендуемых для AD FS и WAP.
Обновления для AD FS и WAP в Windows Server 2016
Обновления для Windows Server 2016 предоставляются ежемесячно через Обновл. Windows и являются накопительными. Пакет обновления, указанный ниже, рекомендуется для всех серверов AD FS и WAP 2016 и включает все ранее необходимые обновления, а также последние исправления.
| КБ # | Description | Дата выпуска |
|---|---|---|
| 4534271 | Устраняет потенциальный сбой хрома AD FS из-за поддержки новых политик cookie SameSite по умолчанию для выпуска 80 Google Chrome. Дополнительные сведения см . здесь. | Январь 2020 г. |
| CVE-2019-1126 | Это обновление безопасности устраняет уязвимость в службы федерации Active Directory (AD FS) (AD FS), которая может позволить злоумышленнику обойти политику блокировки экстрасети. | Июль 2019 г. |
| 4489889 (сборка ОС 14393.2879) | Устраняет проблему в службы федерации Active Directory (AD FS) (AD FS), которая приводит к отображению дубликата доверия проверяющей стороны в консоль управления AD FS. Это происходит при создании или просмотре доверия проверяющей стороны с помощью консоль управления AD FS. Устраняет проблему с задержкой прокси-сервера веб-приложений (WAP) с высокой службы федерации Active Directory (AD FS) (более 10 000 мс), которая возникает при включении экстрасети Smart Lockout (ESL) в AD FS 2016. Это обновление безопасности устраняет уязвимость, описанную в CVE-2018-16794. |
март 2019 г. |
| 4487006 (сборка ОС 14393.2828) | Устраняет проблему, которая приводит к сбою обновлений доверия проверяющей стороны при использовании PowerShell или службы федерации Active Directory (AD FS) (AD FS) консоль управления. Эта проблема возникает при настройке доверия проверяющей стороны для использования URL-адреса метаданных в Сети, который публикует несколько пассивныхRequestorEndpoint. Ошибка : "MSIS7615: доверенные конечные точки, указанные в доверии проверяющей стороны, должны быть уникальными для этого доверия проверяющей стороны". Устраняет проблему, которая отображает определенное сообщение об ошибке для изменения внешнего пароля сложности из-за политик защиты паролей Azure. |
февраль 2019 г. |
| 4462928 (сборка ОС 14393.2580) | Устраняет проблемы взаимодействия между службы федерации Active Directory (AD FS) (AD FS) Экстрасети Smart Lockout (ESL) и альтернативным идентификатором входа. Если включен альтернативный идентификатор входа, вызовы командлетов PowerShell AD FS, Get-AdfsAccountActivity и Reset-AdfsAccountLockout возвращают ошибки "Учетная запись не найдена". При вызове Set-AdfsAccountActivity новая запись добавляется вместо редактирования существующей. | 2018 октября |
| 4343884 (сборка ОС 14393.2457) | Устраняет проблему службы федерации Active Directory (AD FS) (AD FS), в которой многофакторная проверка подлинности не работает правильно с мобильными устройствами, используюющими пользовательские определения языка и региональных параметров. Устраняет проблему в Windows Hello для бизнеса, которая приводит к значительной задержке (15 секунд) в регистрации новых пользователей. Эта проблема возникает, когда аппаратный модуль безопасности используется для хранения сертификата центра регистрации AD FS (RA). |
Август 2018 г. |
| 4338822 (сборка ОС 14393.2395) | Устраняет проблему в AD FS, которая показывает дубликат доверия проверяющей стороны в консоль управления AD FS при создании или просмотре доверия проверяющей стороны из консоли. Устраняет проблему в AD FS, которая приводит к сбою Windows Hello для бизнеса. Проблема возникает при наличии двух поставщиков утверждений. Регистрация ПИН-кода завершится ошибкой :"Ошибка внутреннего сервера 400: не удалось получить идентификатор устройства". Устраняет проблему WAP, связанную с неактивными подключениями, которые никогда не заканчиваются. Это приводит к утечкам системных ресурсов (например, утечке памяти) и к службе WAP, которая больше не реагирует. Устраняет проблему AD FS, которая запрещает пользователям выбирать другой вариант входа. Это происходит, когда пользователи выбирают вход с помощью проверки подлинности на основе сертификатов, но не были настроены. Это также происходит, если пользователи выбирают проверку подлинности на основе сертификатов, а затем пытаются выбрать другой параметр входа. В этом случае пользователи будут перенаправлены на страницу проверки подлинности на основе сертификатов, пока не закроют браузер. |
Июль 2018 г. |
| 4103720 (сборка ОС 14393.2273) | Устраняет проблему с AD FS, которая приводит к сбою входа, инициируемого поставщиком удостоверений SAML, при включении PreventTokenReplays. Устраняет проблему AD FS, возникающую при проверке подлинности OAUTH из приложения устройства или браузера. Изменение пароля пользователя создает сбой и требует от пользователя выйти из приложения или браузера для входа. Устранена проблема, из-за которой включение Smart Lockout экстрасети в формате UTC +1 и выше (Европа и Азия) не работало. Кроме того, это приводит к сбою обычной блокировки экстрасети со следующей ошибкой: Get-AdfsAccountActivity: значения DateTime, превышающие DateTime.MaxValue или меньше DateTime.MinValue при преобразовании в формате UTC, не могут быть сериализованы в JSON. Устраняет проблему с Windows Hello для бизнеса AD FS, в которой новые пользователи не могут подготовить пин-код. Это происходит, если поставщик MFA не настроен. |
Май-2018 |
| 4093120 (сборка ОС 14393.2214) | Устраняет необработанные проблемы проверки маркера обновления. Он создает следующую ошибку: "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: получено недопустимое маркер обновления OAuth. Маркер обновления был получен ранее, чем разрешенное время в маркере". | Апрель 2018 г. |
| 4077525 (сборка ОС 14393.2097) | Устранена проблема, из-за которой возникает ошибка HTTP 500, когда ферма AD FS имеет по крайней мере два сервера с помощью внутренняя база данных Windows (WID). В этом сценарии обычная предварительная проверка подлинности HTTP на сервере прокси веб-приложения (WAP) не проходит проверку подлинности некоторых пользователей. При возникновении ошибки в журнале событий WAP также может появиться предупреждение прокси-сервера веб-приложения Microsoft Windows 13039. Описание считывает сообщение "Прокси веб-приложения не удалось пройти проверку подлинности пользователя. Предварительная проверка подлинности — AD FS для богатых клиентов. Указанный пользователь не имеет права доступа к данной проверяющей стороне. Необходимо изменить правила авторизации целевой проверяющей стороны или проверяющей стороны WAP". Устранена проблема, из-за которой AD FS больше не может игнорировать запрос=login во время проверки подлинности. Параметр "Отключено" добавлен для сценариев поддержки, в которых проверка подлинности паролей не используется. Дополнительные сведения см. в статье AD FS, который игнорирует параметр "prompt=login" во время проверки подлинности в Windows Server 2016 RTM. Устранена проблема в AD FS, где авторизованные клиенты (и проверяющие стороны), которые выбирают сертификат в качестве параметра проверки подлинности, не смогут подключиться. Сбой возникает при использовании запроса=login, если включена встроенная проверка подлинности Windows (WIA), и запрос может выполнять WIA. Устранена проблема, из-за которой AD FS неправильно отображает страницу обнаружения домашней области (HRD), когда поставщик удостоверений (IDP) связан с проверяющей стороной (RP) в группе OAuth. Если несколько поставщиков удостоверений не связаны с RP в группе OAuth, пользователь не будет отображать страницу HRD. Вместо этого пользователь перейдет непосредственно к связанному идентификатору поставщика удостоверений для проверки подлинности. |
февраль 2018 г. |
| 4041688 (сборка ОС 14393.1794) | Это устраняет проблему, которая периодически неправильно направляет запросы центра AD к неправильному поставщику удостоверений из-за неправильного поведения кэширования. Это может повлиять на функции проверки подлинности, такие как Многофакторная идентификация. Добавлена возможность microsoft Entra Подключение Health сообщать о работоспособности сервера AD FS с правильной точностью (с помощью подробного аудита) на смешанных фермах WS2012R2 и WS2016 AD FS. Исправлена проблема, из-за которой во время обновления фермы AD FS 2012 R2 до AD FS 2016 командлет PowerShell для повышения уровня поведения фермы завершается сбоем времени ожидания, когда существует много доверия проверяющей стороны. Устранена проблема, из-за которой AD FS приводила к сбоям проверки подлинности путем изменения значения параметра wct при федеративных запросах на другой сервер маркеров безопасности (STS). |
Октябрь 2017 г. |
| 4038801 (сборка ОС 14393.1737) | Добавлена поддержка выхода OIDC с помощью федеративных LDP. Это позволит "Сценарии киоска", где несколько пользователей могут быть последовательно вошли в одно устройство, где есть федерация с LDP. Исправлена проблема WinHello, из-за которой сертификаты на основе CEP/CES не работают с учетными записями gMSA. Устранена проблема, из-за которой внутренняя база данных Windows (WID) на серверах Windows Server 2016 AD FS не удалось синхронизировать некоторые параметры, такие как столбцы ApplicationGroupId из IdentityServerPolicy.Scopes и IdentityServerPolicy.Client) из-за ограничения внешнего ключа. Такие сбои синхронизации могут привести к различным утверждениям, поставщику утверждений и приложению между основными и вторичными серверами AD FS. Кроме того, если основная роль WID перемещается на дополнительный узел, группы приложений больше не будут управляться в пользовательском интерфейсе управления AD FS. Это обновление устраняет проблемы, при которых многофакторная проверка подлинности не работает правильно с мобильными устройствами, используюющими пользовательские определения языка и региональных параметров |
Сентябрь 2017 г. |
| 4034661 (сборка ОС 14393.1613) | Устранена проблема, из-за которой IP-адрес вызывающего абонента не регистрировался 411 событиями в журнале событий безопасности AD FS 4.0 \ Windows Server 2016 RS1 AD FS, даже после включения "аудита успешности" и "аудита сбоев". Это устраняет проблему с Многофакторной проверкой подлинности Azure (MFA), когда сервер ADFX настроен на использование прокси-сервера HTTP". Устранена проблема, из-за которой срок действия или отзыв сертификата на прокси-сервер AD FS не возвращает пользователю ошибку". |
Август 2017 г. |
| 4034658 (сборка ОС 14393.1593) | Исправление для сервера AD FS 2016 для поддержки регистрации сертификатов MFA для Windows Hello for Business для локальных развертываний | Август 2017 г. |
| 4025334 (сборка ОС 14393.1532) | Устранена проблема, из-за которой обработчик маркера PkeyAuth мог завершить проверку подлинности, если запрос pkeyauth содержит неверные данные. Проверка подлинности по-прежнему должна продолжаться без проверки подлинности устройства | Июль 2017 |
| 4022723 (сборка ОС 14393.1378) | [Прокси веб-приложения] Значение свойства конфигурации DisableHttpOnlyCookieProtection не выбрано WAP 2016 в 2012R2/2016 смешанном развертывании [Прокси веб-приложения] Не удалось получить маркер доступа пользователей из AD FS в сценариях предварительной проверки подлинности EAS. AD FS 2016: выход WSFED приводит к исключению |
2017 июня |
| 3213986 | Накопительное обновление для Windows Server 2016 для систем на основе x64 (КБ 3213986) | Январь 2017 г. |
Обновления для AD FS и WAP в Windows Server 2012 R2
Ниже приведен список исправлений и свертки обновлений, выпущенные для службы федерации Active Directory (AD FS) (AD FS) в Windows Server 2012 R2.
| КБ # | Description | Дата выпуска |
|---|---|---|
| 4534309 | Устраняет потенциальный сбой хрома AD FS из-за поддержки новых политик cookie SameSite по умолчанию для выпуска 80 Google Chrome. Дополнительные сведения см . здесь. | Январь 2020 г. |
| 4507448 | Это обновление безопасности устраняет уязвимость в службы федерации Active Directory (AD FS) (AD FS), которая может позволить злоумышленнику обойти политику блокировки экстрасети. | Июль 2019 г. |
| 4041685 | Устранена проблема AD FS, из-за которой файлы cookie MSISConext в заголовках запросов в конечном итоге могут переполнение предела размера заголовков и привести к сбою проверки подлинности с кодом состояния HTTP 400 "Недопустимый запрос — заголовок слишком длинный". Исправлена проблема, из-за которой AD FS больше не может игнорировать "prompt=login" во время проверки подлинности. Параметр "Отключено" добавлен для сценариев восстановления, в которых используется проверка подлинности без пароля. |
Предварительная версия пакета обновления за октябрь 2017 г. |
| 4019217 | Клиенты рабочих папок, использующие брокер маркеров, не работают при использовании сервера AD FS Server 2012 R2 | Накопительный пакет обновления предварительной версии за май 2017 г. |
| 4015550 | Исправлена проблема, из-за которой AD FS не проверяли внешних пользователей и AD FS WAP случайно не удалось перенаправить запрос | Накопительный пакет обновления за апрель 2017 г. |
| 4015547 | Исправлена проблема, из-за которой AD FS не проверяли внешних пользователей и AD FS WAP случайно не удалось перенаправить запрос | Обновление системы безопасности за апрель 2017 г. |
| 4012216 | MS17-019 Это обновление безопасности устраняет уязвимость в службы федерации Active Directory (AD FS) (AD FS). Уязвимость может разрешить раскрытие информации, если злоумышленник отправляет специально созданный запрос на сервер AD FS, что позволяет злоумышленнику читать конфиденциальную информацию о целевой системе. | Накопительный пакет обновления за март 2017 г. |
| 3179574 | Исправлена проблема с обновлением пароля экстрасети AD FS. | Накопительный пакет обновления за август 2016 г. |
| 3172614 | Появилась поддержка запроса=login, исправлена проблема с параметром AD FS консоль управления и AlwaysRequireAuthentication. | Накопительный пакет обновления за июль 2016 г. |
| службы федерации Active Directory (AD FS) (AD FS) 3.0 не удается подключиться к хранилищам атрибутов протокола LDAP, настроенным для использования порта SSL 636 или 3269 в строка подключения. | Накопительный пакет обновления за июнь 2016 г. | |
| 3148533 | Сбой резервной проверки подлинности MFA через прокси-сервер AD FS в Windows Server 2012 R2 | 2016 мая |
| 3134787 | Журналы AD FS не содержат IP-адрес клиента для сценариев блокировки учетных записей в Windows Server 2012 R2 | 2016 февраля |
| 3134222 | MS16-020: обновление системы безопасности для службы федерации Active Directory (AD FS) для решения отказа в обслуживании: 9 февраля 2016 г. | 2016 февраля |
| 3105881 | Не удается получить доступ к приложениям, если проверка подлинности устройства включена на сервере AD FS на основе Windows Server 2012 R2 | Октябрь 2015 г. |
| 3092003 | Страница загружается многократно и проверка подлинности завершается ошибкой, если пользователи используют MFA в Windows Server 2012 R2 AD FS | Август 2015 г. |
| 3080778 | AD FS не вызывает OnError, когда адаптер MFA создает исключение в Windows Server 2012 R2 | Июль 2015 |
| 3075610 | Отношения доверия теряются на вторичном сервере AD FS после добавления или удаления поставщика утверждений в Windows Server 2012 R2 | Июль 2015 |
| 3070080 | Обнаружение домашней области не работает правильно для доверия проверяющей стороны без утверждений | июнь 2015 г. |
| 3052122 | Обновление добавляет поддержку составных утверждений идентификаторов в маркерах AD FS в Windows Server 2012 R2 | май 2015 г. |
| 3045711 | MS15-040: уязвимость в службы федерации Active Directory (AD FS) может разрешить раскрытие информации | Апрель 2015 г. |
| 3042127 | Ошибка HTTP 400 — недопустимый запрос при открытии общего почтового ящика через WAP в Windows Server 2012 R2 | март 2015 г. |
| 3042121 | Защита воспроизведения маркера AD FS для маркеров проверки подлинности прокси веб-приложения в Windows Server 2012 R2 | март 2015 г. |
| 3035025 | Исправление для функции обновления пароля, чтобы пользователи не использовали зарегистрированное устройство в Windows Server 2012 R2 | январь 2015 г. |
| 3033917 | AD FS не может обрабатывать ответ SAML в Windows Server 2012 R2 | январь 2015 г. |
| 3025080 | Операция завершается ошибкой при попытке сохранить файл Office через прокси веб-приложения в Windows Server 2012 R2 | январь 2015 г. |
| 3025078 | При использовании неправильного имени пользователя для входа в Windows Server 2012 R2 вам не будет предложено повторно использовать имя пользователя. | январь 2015 г. |
| 3020813 | При запуске веб-приложения в Windows Server 2012 R2 AD FS вам будет предложено выполнить проверку подлинности. | январь 2015 г. |
| 3020773 | Сбои времени ожидания после первоначального развертывания службы регистрации устройств в Windows Server 2012 R2 | январь 2015 г. |
| 3018886 | При доступе к серверу Windows Server 2012 R2 AD FS из интрасети вам будет предложено указать имя пользователя и пароль. | январь 2015 г. |
| 3013769 | Свертка обновления Windows Server 2012 R2 | Декабрь 2014 г. |
| 3000850 | Свертка обновления Windows Server 2012 R2 | Ноябрь 2014 г. |
| 2975719 | Свертка обновления Windows Server 2012 R2 | Август 2014 г. |
| 2967917 | Свертка обновления Windows Server 2012 R2 | Июль 2014 г. |
| 2962409 | Свертка обновления Windows Server 2012 R2 | Июнь 2014 г. |
| 2955164 | Свертка обновления Windows Server 2012 R2 | Май 2014 |
| 2919355 | Свертка обновления Windows Server 2012 R2 | апрель 2014 г. |
Обновления для AD FS в Windows Server 2012 (AD FS 2.1) и AD FS 2.0
Ниже приведен список исправлений и обновлений, выпущенных для AD FS 2.0 и 2.1.
| КБ # | Description | Дата выпуска | Область применения: |
|---|---|---|---|
| 3197878 | Проверка подлинности через прокси-сервер завершается ошибкой в Windows Server 2012 (это общий выпуск исправлений 3094446) | Накопительный пакет исправлений за ноябрь 2016 г. | AD FS 2.1 |
| 3197869 | Проверка подлинности через прокси-сервер завершается ошибкой в Windows Server 2008 R2 с пакетом обновления 1 (SP1) (это общий выпуск исправлений 3094446) | Накопительный пакет исправлений за ноябрь 2016 г. | AD FS 2.0 |
| 3094446 | Проверка подлинности через прокси-сервер завершается ошибкой в Windows Server 2012 или Windows Server 2008 R2 с пакетом обновления 1 (SP1) | Сентябрь 2015 г. | AD FS 2.0 и 2.1 |
| 3070078 | AD FS 2.1 создает исключение при проверке подлинности в сертификате шифрования в Windows Server 2012 | Июль 2015 | AD FS 2.1 |
| 3062577 | MS15-062: уязвимость в службы федерации Active Directory (AD FS) может разрешить повышение привилегий | июнь 2015 г. | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077: уязвимость в службы федерации Active Directory (AD FS) может разрешить раскрытие информации: 14 апреля 2015 г. | Ноябрь 2014 г. | AD FS 2.0 / 2.1 |
| 2987843 | Использование памяти сервера федерации AD FS увеличивается, когда многие пользователи войдите в веб-приложение в Windows Server 2012 | Июль 2014 г. | AD FS 2.1 |
| 2957619 | Доверие проверяющей стороны в AD FS останавливается при отправке запроса в AD FS для делегированного токена | Май 2014 | AD FS 2.1 |
| 2926658 | Развертывание фермы SQL AD FS завершается сбоем, если у вас нет разрешений SQL | Октябрь 2014 г. | AD FS 2.1 |
| 2896713 или 2989956 | Обновление доступно для устранения нескольких проблем после установки обновления безопасности 2843638 на сервере AD FS | Ноябрь 2013 г. сентябрь 2014 г. |
AD FS 2.0 / 2.1 |
| 2877424 | Обновление позволяет использовать один сертификат для нескольких доверия проверяющей стороны в ферме AD FS 2.1. | октябрь 2013 г. | AD FS 2.1 |
| 2873168 | ИСПРАВЛЕНИЕ. Ошибка возникает при использовании стороннего поставщика услуг CSP и HSM, а затем настройка доверия поставщика утверждений в накопительном пакете обновления 3 для AD FS 2.0 в Windows Server 2008 R2 с пакетом обновления 1 (SP1) | Сентябрь 2013 г. | AD FS 2.0 |
| Запятая в имени субъекта сертификата шифрования вызывает исключение в Windows Server 2008 R2 с пакетом обновления 1 (SP1) | август 2013 г. | AD FS 2.0 | |
| 2843639 | [Безопасность] Уязвимость в службы федерации Active Directory (AD FS) может разрешить раскрытие информации | Ноябрь 2013 г. | AD FS 2.1 |
| 2843638 | MS13-066: описание обновления системы безопасности для службы федерации Active Directory (AD FS) 2.0: 13 августа 2013 г. | август 2013 г. | AD FS 2.0 |
| 2827748 | Federationmetadata.xml файл не содержит сведения о конечной точке MEX для конечных точек WS-Trust и WS-Federation в Windows Server 2012 | Май 2013 | AD FS 2.1 |
| 2790338 | Описание накопительного пакета обновления 3 для службы федерации Active Directory (AD FS) (AD FS) 2.0 | Март 2013 | AD FS 2.0 |